HIGHCVE-2024-56373CVSS 8.4

Apache Airflowにおいて、LogTemplateテーブル経由でWebサーバーコンテキストでコードインジェクションの脆弱性

プラットフォーム

python

コンポーネント

apache-airflow

修正版

2.11.1

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2024-56373は、Apache AirflowのDAG作成者によるログテンプレート履歴の操作を介したリモートコード実行（RCE）脆弱性です。この脆弱性を悪用されると、攻撃者はWebサーバーコンテキストで任意のコードを実行できる可能性があります。影響を受けるバージョンはApache Airflow 2.9.3rc1以前です。この脆弱性に対処するには、Apache Airflow 2.11.1へのアップグレード、またはログファイル名の変更が推奨されます。

影響と攻撃シナリオ

この脆弱性は、Apache AirflowのDAG作成者が、通常アクセスできないWebサーバーコンテキストで任意のコードを実行することを可能にします。攻撃者は、ログテンプレート履歴を操作することで、Webサーバーのプロセスにコードを注入し、システムへの完全なアクセス権を得る可能性があります。この脆弱性は、機密情報の漏洩、システムの改ざん、さらにはシステム全体の制御喪失につながる可能性があります。この脆弱性は、Airflowのログ履歴機能を利用している環境において、特に深刻な影響を及ぼす可能性があります。

悪用の状況

この脆弱性は、Apache Airflowのログ履歴機能の不適切な実装に起因しています。現時点では、この脆弱性を悪用した公開されているPoCは確認されていませんが、Apache Airflowの広範な利用状況を考慮すると、悪用される可能性は否定できません。CISAのKEVリストへの登録状況は不明です。NVDおよびCISAの公開日は2026年2月24日です。

リスク対象者翻訳中…

Organizations utilizing Apache Airflow versions 2.9.3rc1 and earlier, particularly those with DAG Authors who have extensive permissions, are at significant risk. Shared hosting environments where multiple users have DAG Author roles should be especially vigilant, as a compromised account could impact the entire infrastructure. Environments relying on legacy configurations or custom log template history implementations are also more vulnerable.

検出手順翻訳中…

• python / airflow:

import airflow
# Check Airflow version
print(airflow.__version__)
# Monitor database logs for suspicious queries related to log template history

• linux / server:

# Check Airflow process for unusual activity
ps aux | grep airflow
# Monitor Airflow logs for errors or suspicious entries
journalctl -u airflow -f

攻撃タイムライン

2026-02-24Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

レポート2 件の脅威レポート

EPSS

0.03% (10% パーセンタイル)

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントapache-airflow

ベンダーosv

影響範囲修正版

0 – 2.11.12.11.1

—2.11.1

弱点分類 (CWE)

CWE-94

タイムライン

予約済み2024-12-22
公開日2026-02-24
更新日2026-03-02
EPSS 更新日2026-03-23

公開後-7日でパッチ適用

緩和策と回避策

この脆弱性への主な対策は、Apache Airflowをバージョン2.11.1以降にアップグレードすることです。このバージョンでは、脆弱なログテンプレート履歴機能がデフォルトで無効になっています。アップグレードが困難な場合は、ログテンプレート履歴機能を手動で無効にするか、ログファイル名を変更することで、脆弱性を軽減できます。WAFやIPSなどのセキュリティ対策を導入することで、攻撃の検知と防御を強化することも可能です。アップグレード後、Airflowのログ履歴機能が正常に動作することを確認してください。

修正方法翻訳中…

Actualice Apache Airflow a la versión 2.11.1 o superior. Si desea seguir utilizando el historial de plantillas de registro, actualice a Airflow 3. También puede modificar manualmente los nombres de los archivos de registro históricos si desea ver los registros históricos que se generaron antes del último cambio de plantilla de registro.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2024-56373 — RCE in Apache Airflowとは何ですか？

CVE-2024-56373は、Apache Airflow 2.9.3rc1以前のバージョンにおいて、DAG作成者がログテンプレート履歴を操作し、Webサーバーコンテキストで任意のコードを実行できるリモートコード実行（RCE）脆弱性です。

CVE-2024-56373 in Apache Airflowの影響はありますか？

Apache Airflow 2.9.3rc1以前のバージョンを使用しており、ログテンプレート履歴機能を利用している場合は、影響を受ける可能性があります。

CVE-2024-56373 in Apache Airflowを修正するにはどうすればよいですか？

Apache Airflowをバージョン2.11.1以降にアップグレードするか、ログテンプレート履歴機能を無効にするか、ログファイル名を変更することで、脆弱性を軽減できます。

CVE-2024-56373は積極的に悪用されていますか？

現時点では、この脆弱性を悪用した公開されているPoCは確認されていませんが、悪用される可能性は否定できません。

CVE-2024-56373に関するApache Airflowの公式アドバイザリはどこで入手できますか？

Apache Airflowの公式アドバイザリは、Apacheのセキュリティページで確認できます。https://security.apache.org/